Funcionamento do Agente SSO (Single Sign-On) SonicWALL

Caros

Hoje vou falar sobre o funcionamento do agente SSO da SonicWALL, primeiramente devemos entender que para a documentação da SonicWALL o nome correto é Directory Services Connector, e ele é disponibilizado na aba de Downloads do MySonicWALL

<!–more–>

 

Existem 02 grandes diferenças de funcionamento dentro do agente SSO.

A primeira é que até a versão 3.3.3 o agente SSO para descobrir o usuário da estação de trabalho na rede usava uma consulta em NETAPI ou WMI na maquina do usuário e assim validava as informaçoes de autenticação LDAP desta estação e validava o usuário.

A partir da versão 3.4.50 isto mudou! Agora o agente SSO para descobrir qual o usuário está logado na maquina ele vai e faz a pergunta ao Servidor LDAP ( Servidor DC) e consulta os logs deste Servidor para realizar esta checagem, ou seja, você não precisa mais desativar o firewall na estação de trabalho para que o agente SSO SonicWALL funcione corretamente.

Esta mudança era muito esperada e veio facilitar e aumentar a eficiência da ferramenta.

Atualmente o agente SSO SonicWALL está na versão 3.5.01 lançada em 21/06/12 (menos de 01 mês atrás) e contém correções significativas na performance da maquina e na compatibilidade de estações de trabalho.

Atualmente o agente SSO SonicWALL é capaz de detectar usuários nos seguintes sistemas operacionais (lembrando que ele não faz consulta no SO do usuário e sim no log de login e logoff deste usuário no Servidor LDAP).

Windows 7
Windows Vista
Windows XP
Windows 2000 Professional
Mac OS X 10.6.0
Linux machines using Windows domain accounts, with SSO Agent set to use DC Security Log as the
Query Source
Linux/Unix machines running Samba 3.0 or newer

Abaixo um organograma do funcionamento do Agente SSO.

Vou montar um post futuramente ensinando a configurar este novo agente SSO e como configurar os logs no Servidor Windows, caso queiram isto mais rapidamente por favor me avisem deixando uma mensagem neste post.

Espero que ajude!

 

Igor Casalecchi

Instrutor SonicWALL

52 thoughts on “Funcionamento do Agente SSO (Single Sign-On) SonicWALL

  1. Muito boa sua instrução, continue assim, parabéns!

    Voçê poderia postar como fazer isso quando o PDC é um samba integrado com OpenLDAP. Estou tendo Problemas em configurar o sso, pois aqui temos um pdc samba+openldap e as estações de trabalho sao todas linux!

    1. Caro Guilherme

      Realmente o Agente SSO foi desenvolvido para Windows, porém é possivel parametrizar o Samba para que verifique através de NETAPI qual o usuário nas maquinas Linux.
      Tenho um tutorial da SOnicWALL porém nunca tive a necessidade de colocar em pratica.
      Talvez eu tire alguns dias para montar este lab e posto aqui no Blog.

      Abraços
      Igor Casalecchi
      Instrutor SonicWALL

  2. Se nao for incomodar vc poderia me passar esse tutorial, estou com problemas aqui para integrar neste ambiente.

    Att.
    Guilherme Silva Bezerra

  3. Ola

    Tenho na minha rede o SSO configurado e funcionando corretamente, porém ao utiliza-lo em máquilas que chegam com um unico IP (NAT) o SSO não funciona.

    Saberia alguma solução ?

    Obrigado

    1. Caro Willian

      Os appliances SonicWALL possuem um recurso chamado TSA (Terminal Services Agent) que visa sanar o problema quando a rede utiliza um Servidor TS para que os usuários acessem recursos na rede usando maquinas console ou thin clients.

      Se for o seu caso, estarei postando nesta semana sobre isto.

      Caso seja uma outra rede, que vem roteada para a rede do appliance SonicWALL, todos os hosts irão realizar a consulta com um unico endereço IP, neste caso, não vejo possibilidades de ativar o SSO.

      Att
      Igor Casalecchi
      Instrutor SonicWALL

  4. Bom dia Igor,

    Não encontrei outro post para postar a minha dificuldade, então estou postando aqui mesmo…

    Seguinte!

    Tenho um roteador Wi-fi e estou tentando colocar ele na rede do Sonicwall para acesso sem restrições.

    Conf do Roteador:

    Ip Static 192.168.1.34
    Mascara 255.255.255.0
    GatWay 192.168.1.250 (SonicWall)
    DSN 192.168.1.15 (AD)

    Minha autenticação está como LDAP + Local Users.
    Inseri o Ip do roteador 192.168.1.34 na CFS Exclusion List.
    E tbm o IP do roteador em uma regra de Firewall de LAN para WAN com acesso ANY.

    Após isso ele esta acessando a net, porém esta bem lento.

    E nos logs esta aparecendo: Info Authenticated Access User login denied – not allowed by policy rule 192.168.1.34, 0, X0 0.0.0.0, 0, X1 Unknown user, authentication by SSO Agent, IP Protocol: 0 Port: 0

    Teria que criar uma autenticação local?
    Se sim como faço isso?

    Agradeço desde já!

    Abraços

    João Paulo
    Analista de Suporte

  5. Igor e no caso de ter uma 2ª rede no proprio SonicWall. Exemplo rede 1 (192.168.10.1) e rede 2 (192.168.12.1) … o IP do sonicwall e dos ADs são da rede 1. As maquinas da rede 2 irão passar pelo SSO de forma nativa ou requer alguma configuração extra…

    Valeu e mais uma vez parabens pelo Blog, excelente!!

    Rodrigo Medeiros

    1. Caro Rodrigo

      Será necessário adicionar esta outra rede no SonicWALL (ou por vlan, ou por entrada ARP) fiz um post sobre isto no site.

      Após isto, ele vai trabalhar de forma a autenticar quem estiver nesta outra rede.

      Porém existem diversos tipos de cenários e esta aplicação pode variar.

      Qualquer dúvida me avise e me mande mais informações que desenho e simulo seu cenário.

      Espero que ajude!

      Igor Casalecchi
      Instrutor SonicWALL

  6. Igor,

    Este DCC deve ser instalado em uma maquina controlador de dominio ou não? o que é necessario para configuração da mesma?

  7. Alguns clientes se autenticam na wireless via radius (que se utiliza o AD para a validacao). Não há formas do agente consultar esses logs tambem?

    1. Caro Marcio

      Excelente pergunta a sua!
      A resposta é bem simples:
      Não, não podemos usar o SSO para autenticar conexões vindas de um RADIUS pelo simples motivo que o SSO busca transformar IP em nome de Usuario e depois usa este nome de usuario para coletar os grupos.
      Se usarmos os RADIUS não temos suporte a Grupos de usuários, ou seja, ficaria impossivel saber os grupos que este usuário autenticado via RADIUS utiliza.

      Espero que ajude!

      Igor Casalecchi
      Instrutor SonicWALL

  8. Igor, bom dia!
    Estou começando a trabalhar com SonicWall. Esse agente é necessário estar rodando nos servidores/estações? O que acontece se o serviço estiver parado? Estou com um servidor que ao iniciar o serviço ele começa a gerar erros de log por não conseguir consultar o log do Domain Controller, o serviço está rodando com um usuário que é Domain Admin

    Obrigado e parabens pelo site!

    1. Caro Luis

      Este agente de SSO (oficialmente seu nome é Directory Services Connector) precisa ser instalado somente em um Servidor na sua rede, você pode optar e instalar em mais Servidores por redundância caso algum falhe.
      Se o serviço deste agente estiver parado ele não vai conseguir analisar e identificar os usuários que estão nas estações de trabalho.

      Recomendo que valide a instalação do mesmo, creio que possa existir algo de errado com sua instalação.

      Espero que ajude!

      Igor Casalecchi
      Instrutor SonicWALL

      1. Igor, obrigado pela resposta. Ajudou a esclarecer a função do agente.
        O problema que estava ocorrendo aqui era de autenticação, verifiquei nas configurações do Connector que ele estava tentando se autenticar com um usuário que estava desabilitado no AD.

    1. Caro Luis

      Não tenho ainda disponivel, mas caso precise me informe maiores detalhes do seu ambiente que eu monto.

      Espero que ajude!

      Igor Casalecchi
      Instrutor SonicWALL

  9. Igor,

    Tenho um problema e não sei como resolve-lo poderia me dar um help?

    Seguinte tenho o agente SSO implantado no servidor de dominio. Acontece que nos notebooks, tenho um usuario para fazer o backup dos dados diferente do usuario que a pessoa loga na maquina, e este backup sempre é executado ao ligar a maquina.

    Acontece que a autenticação SSO fica neste “usuario de backup” e não o usuario que a pessoa usa para logar na maquina.

    Algumas maquinas pegam usuario normal outras pegam apenas o usuario de backup.

    Existe uma configuração para fazer com que o SSO reconheça o usuario que está logado na maquina e não o usuario do backup?

    Att,

    Marcelo

      1. Cara,

        Nem prestei atenção neste post seu por conta do titulo “AVAST” hehehe, fiz os passos do post e resolveu o problema.

        Configuração simples e que tava me dando dor de cabeça.

        Muito obrigado Igor…e obrigado pelo feedback rapido!

        Abs

  10. Igor bom dia,
    Utilizo o DC Security Log + NETAPI no SSO. Resolvemos os problemas das estaçoes qua nao logavam. Porém agora quando um usuário que é de fora do domínio vem para empresa ele acaba “pegando um ip” pelo LOG que ra de alguem do dominio e tem acesso como se fosse este usuário. ONde configuro no windows o tempo de refresh deste protocolo para minimizar este problema? Att, Samuel.

    1. Caro Samuel

      Normalmente utilizamos o “lease time” em 1440 min ou seja, 24 horas.
      Porém você pode modificar este tempo no seu Servidor de DHCP (o Appliance Dell SOnicWALL pode ser o Servidor DHCP da rede)

      Espero que ajude!

      Igor Casalecchi
      Instrutor SonicWALL

  11. Bom dia Igor, estou com uns problemas referente a autenticação dos usuários via SSO. O cenário é uma implementação com uma matriz e duas filiais interligadas via VPN site-to-site, todas as pontas com SonicWALL.

    Matriz: 192.168.0.0/24
    Filial1: 192.168.1.0/24
    Filial2: 192.168.2.0/24

    Quando eu acesso o console da Matriz, em Users > Status, aparecem usuários autenticados de todas as unidades, sendo que era pra autenticar apenas usuários da rede 192.168.0.0.

    A opção “Allow only users listed locally” não está setada nas configurações do SSO, ela resolveria o problema ?

    Att,

    1. Caro Luiz

      Você precisa colocar as redes das filiais no grupo de bypass do SSO.

      Para realizar isto, basta ir em Users > Settings > Configure do SSO > Enforcement > Bypass Group (neste campo selecione um grupo com as 02 redes das filiais)

      Desta forma, você esta avisando ao SSO que estas redes não precisam ser identificadas.

      Espero que ajude!

      Igor Casalecchi
      Instrutor Dell SonicWALL

  12. Boa tarde a todos!

    Olá Igor,

    Parabéns pelo site, é de grande ajuda para quem não tem experiência com o SonicWALL

    Gostaria de tirar uma dúvida por favor.

    No nosso ambiente, recentemente compramos o TZ215W, e temos muitos problemas relacionados a autenticação dos usuários pelo SSO

    Temos dois controladores de domínio executando Windows Server 2012 R2 e um Servidor DHCP com Windows Server 2008 R2.
    O Agente SSO, atualmente está instalado e em execução apenas no Controlador de Domínio Primário, o método de autenticação configurado no SonicWALL está como LDAP + Local Users.
    Temos em torno de 100 usuários, mas observando pelo Status na Console Users, os usuários autenticados não passam de 20, o restante das estações ficam como não autenticados relatando problemas do tipo:

    “Probing got no response from NetAP”
    “Agent returned no user name”
    “Agent returned local user”
    “SSO agent reported: OS error 53: Network path not found”

    Alguma sugestão de como posso corrigir este comportamento?
    Os usuários não autenticados, sofrem problemas de lentidão e perda de conexão ao navegar na internet.

    Obrigado.

    1. Caro Daniel

      Verifique primeiramente se o WMI ou NETAPI esta sendo usado pelo seu agente SSO (para verificar isto, acesse o aplicativo instalado no Servidor, com botão direto dentro do aplicativo vá em Propriedades)

      Recomendo testar para verificar qual recurso mais se adapta ao seu cenário, cada um tem sua vantagem e desvantagem.

      Sobre instalar em mais de um Servidor, isto é somente para failover, ou seja, se um falhar o outro Agente SSO irá realizar as consultas.

      Fora isto, verifique se o Firewall das estações possui um regra liberando acesso a porta 445,137,139 vindos do IP do Servidor que tem o Agente SSO instalado, ou seja, a consulta nas estações não parte do firewall e sim da maquina que tem o agente SSO instalado.

      Espero que ajude!

      Igor Casalecchi
      Instrutor Dell SonicWALL

    1. Caro Manoel

      Estou preparando um post bem legal sobre SSO com todas as duvidas normais e como configurar no seu ambiente

      Espero que ajude!

      Igor Casalecchi
      Instrutor Dell SonicWALL

  13. Bom Dia,

    estou com um problema, meu SO é o windows 8.1, meu usuario não aparece conectado pelo SSO, o SO Windows 8.1 não funciona com essa versão de SSO?

    1. Caro Rodrigo

      Verifique a versão do SSO que está usando, pois a versão mais nova do Agente SSO (3.6.25) já aceita maquinas rodando o windows 8.1

      Espero que ajude!

      Igor Casalecchi
      Instrutor Dell SonicWALL

  14. Bom dia, estou com problema na empresa onde trabalho, o Sonic Wall está configurado, porem os usuários que utilizam o Windows 7, ao logar na maquina precisa autenticar no SOnic Wall para acessar a Internet, sendo que o problema só acontece com Windows 7. Poderia me ajudar por favor.

    1. Caro João

      Verifique se o Firewall das estações está ativo, se estiver, ele precisa ter uma excessão para que o IP do Agente SSO (do Servidor onde ele está instalado, normalmente o proprio AD) libere todas as portas, ou caso queira, somente a 445, 135, 138 e 139.

      Espero que ajude!

      Igor Casalecchi
      Instrutor Dell SonicWALL

    1. Caro Filipe

      Estou montando como video-aula, creio que será mais prático e intuitivo

      Espero que ajude!

      Igor Casalecchi
      Instrutor Dell SonicWALL

    1. Caro Eduardo

      Existe sim.
      Nas novas versões de firmware e dependendo do modelo do appliance conseguimos aplicar outro metodo de SSO chamado “RADIUS ACCOUNTING”

      Desta forma a rede Wireless modificada para operar como WPA2-EAP, ou seja, com autenticação via Radius, envia ao appliance Dell SonicWALL as informações e o o usuário é listado e todos os seus acessos são salvos com seu login

      Espero que ajude!

      Igor Casalecchi
      Instrutor Dell SonicWALL

  15. Boa tarde, na minha rede todos os Windows 8.1 não estão autenticando pelo SSO…
    Versão do agent: 3.7.30

    Alguém sabe de alguma outra incompatibilidade???

    1. Caro Anderson

      Totalmente compativel, creio que seja alguma outra configuração.

      Faça testes internamente , dentro do Agente SSO e verifique os logs que ele irá mostrar

      Espero que ajude!

      Igor Casalecchi
      Instrutor Dell SonicWALL

  16. Boa noite Igor,

    O agent funciona num cenário que os usuários e grupos estão num LDAP (OpenLdap), via samba PDC?

    Obrigado.

    1. Caro Eduardo

      O agente SSO só consegue checar maquinas windows, então se as maquinas dos usuários estiverem no Windows e o Agente SSO também estiver em um Servidor Windows, você não terá problemas.

      Espero que ajude!
      Igor Casalecchi
      Instrutor Dell SonicWALL

  17. Boa tarde Igor,

    Veja se pode me dar uma dica. Como fazer para usuários de notebook (estão fora do domínio) possam ter acesso sem precisar de autenticação manual? Recebo o seguinte erro no event viewer (Failed to get Logged in User for IP: 192.168.1.119; Error:Error:[5] You do not have enough privileges.)

    Obrigado.

    1. Caro Bruno

      Não esqueça de criar a regra de firewall da LAN > WAN solicitando a obrigatoriedade na autenticação, com isto, as maquinas fora do dominio serão obrigadas a autenticar usando o Navegador WEB. O Dell SonicWALL irá redirecionar e mostrar a tela de login para estes notebooks.

      Espero que ajude!
      Igor Casalecchi
      Instrutor Dell SonicWALL

  18. Bom dia pra tudos vocês,

    Algém sabe as caracteristicas para o servidor SSO (processor, HDD free space) pra fazer a instalação do SSO agent?
    Eu preciso instalar o agente, mais não consigo os detalhes para a instalação dele.

    Alguma ajuda, por favor?

    Muito obrigado.
    Saludos desde México!! 🙂

Leave a Reply

Your email address will not be published. Required fields are marked *